Einloggen Ohne Ssl

Ratze · April 30, 2005

Ich habe es so eingestellt das der Bestellvorgang SSL gesichert ist.

Wenn man sich beim betreten der WebSite einloggt, wird nachdem man auf "Anmelden" klickt ein PopUp angezeigt welches anzeigt das man auf eine Seite weitergeleitet wird die unsichere Elemente enth?lt. (obwohl von http auf http weitergeleitet wird)

Ich nehme an das der Vorgang an sich Verschl?sselt wird und habe in der login.php bereits geschaut wie ich die login-Verschl?sselung abschalten k?nnte.

Da steht sehr oft '', 'SSL')); hinter den Code-Texten. Leider weiss ich nicht was genau zu tun ist.

W?rde mir bitte jemand einen Tipp geben?

Ratze · April 30, 2005

Wenn man auf den "Anmelden" Button klickt wird diese Adresse angesteuert:

https://www.shop.de/login.php?action=process

Wie kann ich das https in http umwandeln?

smedder · April 30, 2005

Ich glaube, das dass Problem ist, dass die Bilder alle ?ber unverschl?sselte Verbindung ?bertragen werden. (Sind dann die unsicheren Elemente.) Die eigentlich zu verschl?sselnden Daten werden zwar verschl?sselt ?bertragen, aber es ist nat?rlich f?r einen Kunden etwas abschreckend, wenn der so eine Meldung bekommt.

Ich hab das mal so gel?st, dass ich den kompletten Shop ?ber SSL laufen lasse. Dabei wird dann die ?bertragung zwar etwas langsamer, aber daf?r ist diese Meldung nicht mehr da.

smedder · April 30, 2005

Originally posted by Ratze@Apr 30 2005, 13:07 PM
Wenn man auf den "Anmelden" Button klickt wird diese Adresse angesteuert:

https://www.shop.de/login.php?action=process

Wie kann ich das https in http umwandeln?

Wenn du das in http:// um?nderst, wird es ja wieder unverschl?sselt ?bertragen.

polkhigh33 · April 30, 2005

hartkodierte links auf bilder/hg-images etc. in deinem template ?

Ratze · April 30, 2005

Das habe ich mir auch schon ?berlegt.

Nur sagen ja wirklich viele das WebSites dann lahm werden.

Ich habe bei 1&1 den 5.0 Business Pro Tarif.

Habe also auch keinen eigenen Server.

Ich selbst habe eine recht gute Verbindung ins Internet. (Arcor 3000)

Weisst Du vielleicht ob andere mit schlechterer Verbindung dann Probleme haben wenn der gesamte Shop verschl?sselt ist?

smedder · April 30, 2005

Ich selber habe DSL 1000 und auch keine Probleme, aber ich werde mal einen Bekannten fragen, der 56K Modem hat, wie sich das auf die Verbindung auswirkt.

Ratze · April 30, 2005

Originally posted by smedder@Apr 30 2005, 12:09 PM
Wenn du das in http:// um?nderst, wird es ja wieder unverschl?sselt ?bertragen.

"Wenn du das in http:// um?nderst, wird es ja wieder unverschl?sselt ?bertragen."

Ich meine nicht in der config ver?ndern sondern nur den einen Code der gebraucht wird wenn man sich anmeldet.

Leider habe ich den Code nicht gefunden.

In der login_box.html steht an der Stelle nur :

<tr>

<td>{$FIELD_PWD} </td>

<td>{$BUTTON}</td>

</tr>

</table></td>

Und im Quelltext der StartSeite steht dann ja:

action="https://www.northstar-electronic.de/login.php?action=process">

Und wo dieser Code angegeben ist w?rde ich gerne wissen. Ich m?chte nur die Verschl?sselung beim einloggen ausgeschaltet haben, nicht die des gesamten Shops.

smedder · April 30, 2005

Wieso willst du sie beim Einloggen ausgeschaltet haben?

Dann werden ja die Login-Daten in Klartext ?bertragen.

Ratze · April 30, 2005

Naja schon...aber bis es eine bessere L?sung gibt w?rde ich das gern so machen.

Das PopUp ist sehr nervig.

Der Kunde selbst merkt das ja nicht.

Soll auch nur eine kurzweilige Notl?sung sein.

Wenn ?berhaupt nichts geht mach ich den gesamten Shop ?ber SSL.

smedder · April 30, 2005

Aber der Kunde bekommt bei jedem Bestellvorgang im Warenkorb und so die Meldung vom IE, ich w?rde behaupten, dass h?lt viele vom Kauf ab. Also w?rde ich entweder SSL ganz ausschalten oder komplett laufen lassen.

Ratze · April 30, 2005

Originally posted by smedder@Apr 30 2005, 12:35 PM
Aber der Kunde bekommt bei jedem Bestellvorgang im Warenkorb und so die Meldung vom IE

Nein bei mir nicht mehr, ich habe etwas im Code ver?ndert. Seit dem l?uft die SSL Verschl?sselung super.

Bis auf die beschriebene Geschichte.

Ich habe folgendes ge?ndert:

-includes/application_top.php folgende ?nderung:

$request_type = ($_SERVER['HTTPS'] == 1) ? 'SSL' : 'NONSSL';

Ratze · April 30, 2005

Und der Einlogg-PopUp-Mist kann durch diese ?nderung behoben werden:

login.php folgende ?nderung:

// restore cart contents

$_SESSION['cart']->restore_contents();

if (sizeof($_SESSION['navigation']->snapshot) > 0) {

$origin_href = xtc_href_link($_SESSION['navigation']->snapshot['page'], xtc_array_to_string($_SESSION['navigation']->snapshot['get'], array(xtc_session_name())),'SSL');

$_SESSION['navigation']->clear_snapshot();

xtc_redirect(xtc_href_link(FILENAME_ACCOUNT,'','SSL'));

} else {

xtc_redirect(xtc_href_link(FILENAME_DEFAULT,'','SSL'));

}

Ratze · April 30, 2005

Sorry, noch was vergessen:

Ein PopUp bleibt leider noch ?brig:

Wenn der Kunde seine Bestellung get?tigt hat und nach dem Klick auf "Bestellen" zu der n?chsten Seite weitergeleitet wird auf der man dann seine Bestellung ausdrucken kann...kommt nachdem klick auf "Weiter" auch ein PopUp bez?glich unsicheren Inhalten etc pp.

Das ist glaube ich das einzige was noch zu beheben ist.

Leider habe ich keine Ahnung wie.

smedder · May 1, 2005

Ich hab es auch schon mal versucht, dachte es m?sste ?ber die checkout_success.php gehen, gab aber kein Erfolg. Dann hab ich noch in die checkout_success.html geschaut, da ist aber auch nichts passendes, hast du mittlerweile noch was gefunden?

hwlp · June 12, 2005

damit auch diese meldung verschwindet, folgende ?nderungen machen

in => inc/xtc_redirect_inc.php

if ( (ENABLE_SSL == true) && (getenv('HTTPS') == 'on') ) { // We are loading an SSL page

ersetzen mit:

if ( (ENABLE_SSL == true) && (getenv('HTTPS') == '1') ) { // We are loading an SSL page

gswkaiser · June 12, 2005

Originally posted by hwlp@Jun 12 2005, 01:55 AM
damit auch diese meldung verschwindet, folgende ?nderungen machen
in => inc/xtc_redirect_inc.php
if ( (ENABLE_SSL == true) && (getenv('HTTPS') == 'on') ) { // We are loading an SSL page
ersetzen mit:
if ( (ENABLE_SSL == true) && (getenv('HTTPS') == '1') ) { // We are loading an SSL page
Quoted post

So geht es nicht. da wird bei der Druckfuntion immer noch die Warnung angezeigt!

Aber so:

In checkout_success.php

Nach

'oID='.$orders['orders_id']

anfuegen

,'SSL'

gswkaiser · June 12, 2005

F?r eine wirklich saubere SSL-Verarbeitung sollte man m.E. folgende ?nderungen vornehmen:

Im Modul inc/xtc_href_link.inc.php


 function xtc_href_link($page = '', $parameters = '', $connection = 'NONSSL', $add_session_id = true, $search_engine_safe = true) {

  global $request_type, $session_started, $http_domain, $https_domain;


  if (!xtc_not_null($page)) {

   die('</td></tr></table></td></tr></table><br><br><font color="#ff0000"><b>Error!</b></font><br><br><b>Unable to determine the page link!<br><br>');

  }


  if ($connection == 'NONSSL') {

   $link = HTTP_SERVER . DIR_WS_CATALOG;

  } elseif ($connection == 'SSL') {

   if (ENABLE_SSL == true) {

    $link = HTTPS_SERVER . DIR_WS_CATALOG;

   } else {

    $link = HTTP_SERVER . DIR_WS_CATALOG;

   }

  } else {

   die('</td></tr></table></td></tr></table><br><br><font color="#ff0000"><b>Error!</b></font><br><br><b>Unable to determine connection method on a link!<br><br>Known methods: NONSSL SSL</b><br><br>');

  }


  if (xtc_not_null($parameters)) {

?ndern zu


function xtc_href_link($page = '', $parameters = '', $connection = 'NONSSL', $add_session_id = true, $search_engine_safe = true) {

	global $request_type, $session_started, $http_domain, $https_domain;


	$die_error_text = '</td></tr></table></td></tr></table><br><br><font color="#ff0000"><b>Fehler!</b></font><br><br><b>Der Link ist nicht definiert!<br><br>';

	if (!xtc_not_null($page)) {

 die($die_error_text);

	}

	elseif (ENABLE_SSL == true && (($connection == 'SSL') || (getenv('HTTPS') == '1'))) {

 $link = HTTPS_SERVER . DIR_WS_CATALOG;

	} else {

 $link = HTTP_SERVER . DIR_WS_CATALOG;

	}

	if (xtc_not_null($parameters)) {

Damit werden "https"-Links generiert wenn der Parameter "$connection" gleich "SSL", oder wenn der "https"-Modus schon aktiv ist. Der Punkt ist n?mlich, dass die Links per Default nicht als "https"-Links erstellt werden, und die meisten Aufrufe von 'xtc_href_link' diesen Parameter nicht auf "SSL" setzen. Mit dieser ?nderung wird der Default-Link-Modus auf "https" gesetzt, aber trotzdem sicher gestellt, dass (nur) im gew?nschten "https"-Modus alle Links "https"-Links sind. Das Problem der urspr?ngliche Definition ist, dass, selbst wenn f?r den Zahlungsvorgang in den "https"-Modus umgeschaltet wurde, die meisten Navigations-Links (Kategorien, Bestseller usw.) immer noch als "http"-Links dargestellt werden, so dass jeder Klick auf einen solchen die omin?se Meldung wieder bringt. Damit scheinen auch gleichzeitig alle anderen genannten Probleme gel?st zu sein! ================================================================================================ Wenn man das auch im Admin-Bereich so l?sen will, dann ist folgende ?nderung erforderlich: Im Modul admin/includes/functions/html_output.php


 function xtc_href_link($page = '', $parameters = '', $connection = 'NONSSL') {

	if ($page == '') {

   die('</td></tr></table></td></tr></table><br><br><font color="#ff0000"><b>Error!</b></font><br><br><b>Unable to determine the page link!<br><br>Function used:<br><br>xtc_href_link(\'' . $page . '\', \'' . $parameters . '\', \'' . $connection . '\')</b>');

  }

  if ($connection == 'NONSSL') {

   $link = HTTP_SERVER . DIR_WS_ADMIN;

  } elseif ($connection == 'SSL') {

   if (ENABLE_SSL == 'true') {

    $link = HTTPS_SERVER . DIR_WS_ADMIN;

   } else {

    $link = HTTP_SERVER . DIR_WS_ADMIN;

   }

  } else {

   die('</td></tr></table></td></tr></table><br><br><font color="#ff0000"><b>Error!</b></font><br><br><b>Unable to determine connection method on a link!<br><br>Known methods: NONSSL SSL<br><br>Function used:<br><br>xtc_href_link(\'' . $page . '\', \'' . $parameters . '\', \'' . $connection . '\')</b>');

  }

?ndern zu


 function xtc_href_link($page = '', $parameters = '', $connection = 'NONSSL') {

	$die_error_text = '</td></tr></table></td></tr></table><br><br><font color="#ff0000"><b>Fehler!</b></font><br><br><b>Der Link ist nicht definiert!<br><br>';

	if (!xtc_not_null($page)) {

 die($die_error_text);

	}

	elseif (ENABLE_SSL == true && (($connection == 'SSL') || (getenv('HTTPS') == '1'))) {

 $link = HTTPS_SERVER . DIR_WS_ADMIN;

	} else {

 $link = HTTP_SERVER . DIR_WS_ADMIN;

	}

Im Modul admin/includes/configure.php muss die konstante "HTTPS_SERVER" definiert sein!

hwlp · June 13, 2005

anderes problem. evtl. kennst du eine l?sung.

die warenkorbfunktion funktioniert mit dem IE bestens. allerdings gibts probleme beim firefox. nach dem einf?gen ist der warenkorb leer. aktualisiere ich aber die seite, ist das produkt im warenkorb. woran kann es liegen? (benutze ssl proxy) - wenn ssl nicht aktiviert ist, funktioniert der warenkorb bestens, in allen browsern. wei? da leider nicht mehr weiter.

gswkaiser · June 14, 2005

Originally posted by hwlp@Jun 13 2005, 11:32 PM
anderes problem. evtl. kennst du eine l?sung.

die warenkorbfunktion funktioniert mit dem IE bestens. allerdings gibts probleme beim firefox. nach dem einf?gen ist der warenkorb leer. aktualisiere ich aber die seite, ist das produkt im warenkorb. woran kann es liegen? (benutze ssl proxy) - wenn ssl nicht aktiviert ist, funktioniert der warenkorb bestens, in allen browsern. wei? da leider nicht mehr weiter.

Quoted post

Welchen Warenkorb meinst Du?

Den "kleinen" in der Box am rechten Rand, oder den "grossen"?

Der "kleine" wird bei mir auch auch im Firefox und SSL sofort aktualisiert.

Allerdings ist SSL bei "1und1" nicht ?ber einen Proxy realisiert, sondern der Aufruf erfolgt direkt ?ber die Domain.

hwlp · June 15, 2005

Welchen Warenkorb meinst Du?

Den "kleinen" in der Box am rechten Rand, oder den "grossen"?

Der "kleine" wird bei mir auch auch im Firefox und SSL sofort aktualisiert.

Allerdings ist SSL bei "1und1" nicht ?ber einen Proxy realisiert, sondern der Aufruf erfolgt direkt ?ber die Domain.

den kleinen warenkorb.

ich habe 2 shops am laufen. der eine l?uft mit einem "echtem" ssl zertifikat al a https, der zweite l?uft auf einem ssl proxy, was nicht richtig funktioniert.

wie bereits gesagt lande ich nach dem einf?gen ins warenkorb auf der warenkorb seite, wo geschrieben steht, da? nichts im warenkorb ist. wenn ich dann allerdings die seite aktualisiere, erscheint der volle warenkorb.

gswkaiser · June 16, 2005

Das ist ein sehr ungew?hnliches Verhalten, da xtCommerce die Daten bei jedem Vorgang komplett neu berechnet.

Mir ist allerdings auch schon aufgefallen, dass Firefox die Seiten vorwiegend aus seinem Cache l?dt, was das Verhalten erkl?ren w?rde.

Mit der Art des SSL-Zugriffs (direkt, Proxy) kann das eigentlich nichts zu tun haben, da die Seite von xtCommerce ja jdesmal komplett neu berechnet wird.

Gib doch mal die URL des Shops an, dann will ich mal von mir aus schauen, was da passiert.

Einloggen Ohne Ssl

Recommended Posts

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Archived